Entreprise & Expertise

ESMA

Lignes directrices de l’ESMA sur le cloud outsourcing : des orientations très terre à terre !

Option Finance - 26 Juin 2020 - Par Jérôme Sutour

ESMA

L’ESMA consulte depuis le 3 juin 2020 sur son projet de lignes directrices sur l’externalisation vers des fournisseurs de services dans le cloud (le «Projet»). En effet, partant du constat de l’extraordinaire augmentation du recours à ce type de services, le régulateur européen a souhaité consulter les acteurs réglementés sur les grands principes à respecter en cas de mise en œuvre d’une telle organisation.

Par Jérôme Sutour, avocat associé, CMS Francis Lefebvre Avocats

Tout d’abord, il faut noter que le Projet a vocation à régir l’ensemble des acteurs dans le champ de compétence de l’ESMA : qu’il s’agisse des sociétés de gestion de FIA ou d’OPCVM, des prestataires de services d’investissement, des agences de notation ou des dépositaires centraux (les «Entités»), tous ont vocation à se conformer aux principes qui seront dégagés de cette consultation.

Le Projet s’articule autour de neuf grands thèmes (audit, gouvernance, contractualisation, etc.) couvrant l’ensemble de la démarche devant être mise en œuvre en cas de recours aux fournisseurs de services dans le cloud (les «Prestataires»). 

1. Assouplissement relatif des conditions d’audit et de contrôle

Si les propositions du Projet sont généralement conformes à l’environnement connu des Entités en matière d’externalisation, celles relatives au contrôle présentent un grand intérêt par leur pragmatisme. En effet, l’ESMA reconnaissant la difficulté pour les Entités de contrôler ces Prestataires dont les services sont par nature dématérialisés, le régulateur propose de reconnaître divers modes alternatifs d’audit afin de contrer l’argument des Prestataires sur le risque que font courir les contrôles sur leur environnement informatique tels que :

– l’établissement de rapport par le Prestataire au bénéfice de l’Entité portant sur la réalisation de tests déterminés par cette dernière ;

– l’utilisation de certificats ou rapports d’audit de prestataires tiers missionnés par le Prestataire ;

– la réalisation d’audits communs par plusieurs Entités sur le Prestataire.

Etant entendu que l’Entité reste toujours responsable des activités qu’elle externalise et qu’à ce titre, la conduite d’audits et le bénéfice d’une certification par un tiers restent conditionnés par l’évaluation de ce tiers et la faculté d’imposer contractuellement l’extension du champ des contrôles et vérifications par ce tiers.

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner